登壇者
種家 純氏
ANAホールディングス株式会社
取締役執行役員
大井 哲也氏
TMI総合法律事務所 パートナー弁護士
TMIプライバシー&セキュリティ コンサルティング株式会社 代表取締役
中西 豊紀氏
日本経済新聞社
NIKKEI Digital Governance 編集長
モデレーター
林 和洋氏
PwC Japanグループ
サイバーセキュリティ&デジタルオペレーショナルレジリエンス リーダー
PwCコンサルティング合同会社
上席執行役員 パートナー
人工知能(AI)の導入やデジタル規制への対応は、グローバル企業の競争力を左右する経営課題です。AIは顧客体験の向上や業務効率化に貢献する一方で、データ管理やプライバシー保護といった高度な対応も求められます。さらにデジタル規制は国・地域ごとに精緻化が進み、企業には本社主導での横断的な体制構築が不可欠です。本セッションでは、PwC Japanグループ林和洋氏による進行のもと、NIKKEI Digital Governance編集長の中西豊紀氏、ANAホールディングスの種家純氏、TMI総合法律事務所パートナー弁護士の大井哲也氏を迎え、AI活用の期待と課題、そして世界で進むデジタル規制への備えについて議論しました。(本文敬称略)
(左から)林 和洋氏、種家 純氏、大井 哲也氏、中西 豊紀氏
AI活用で成果を上げる企業の共通点
林:
最初に中西編集長に伺います。企業のAI活用について、日経デジタルガバナンスの読者はどのような点に注目しているのでしょうか。
中西:
日経デジタルガバナンスは、デジタル実装に関わるルール、企業の意思決定、技術変化を扱う媒体です。2025年1月から11月までのPV(Page View)ランキングを見ると、AI関連の記事が圧倒的に多く、特に年後半から関心が急速に高まっています。今では多くのビジネス課題がAIと密接に結び付いており、AIの視点なしには記事が成立しない状況です。
その中でも特徴的なのは、「GPT-5」や「Gemini」など、生成AIモデルのバージョンアップ動向を扱う技術解説記事への関心が非常に高いことです。また、ソニーの真贋判定技術を紹介した記事もよく読まれており、企業の偽情報対策への注目度の高さが表れています。当初はAIの概論的な記事が中心でしたが、現在は導入事例や具体的なリスクなど、より実務寄りの内容が増えてきました。この流れは2026年も続くと見ています。
林:
PwCの調査でも同じ傾向が見られます。2023年から毎年実施している「生成AIに関する実態調査(※)」によると、AIを活用する企業は年々増加し、最新の2025年版では90%以上がすでに生成AIを導入・活用しています。テクノロジーや通信業界が最も先行していますが、それは業態との親和性を考えると自然な動きです。注目すべきは、運輸・物流業界や小売業界が年々大きく伸びている点です。
※ 生成AIに関する実態調査 2025春 5カ国比較
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/generative-ai-survey2025.html
では種家さん、ANAホールディングス(以下、ANA)でのAI活用の具体的な取り組みについてご紹介いただけますか。
種家:
これまでANAでは需要予測やチャットボット対応など、個別領域でAIを活用してきました。現在は生成AIの登場を契機に、グループ全体でAI活用と業務変革を一体で進めています。
ANAがAI利活用で目指すゴールは、「顧客体験価値の向上」「生産性の向上」「安全品質の向上」です。広範なデータをAIで迅速に分析し、より安全で快適な移動を実現することです。さらに、各タッチポイントで得たお客さまデータを統合・分析し、パーソナライズされた体験を提供することを目指しています。
具体的には、オペレーション、マーケティング、間接部門で多数のプロジェクトを展開しています。オペレーションでは業務特化型の生成AIを導入し、規定やマニュアル検索の時間を約90%削減するツールを開発しました。情報に迅速にアクセスできることで、安全運航を支え、お客さまへの案内もスムーズになります。運航支援やコンタクトセンター、空港でのコミュニケーションAIなど、活用領域も広げています。
体制面では、DX部門のデジタル変革室にAI推進チームを新設し、AIをビジネス価値につなげる取り組みを全社で支援しています。またGoogleをグループ共通基盤として採用し、資料要約やドキュメント作成など、GoogleのAIツールを日常業務に組み込み、研修と合わせて全役職員のAIリテラシー向上にも取り組んでいます。
林:
ガバナンス体制の整備も進んでいると伺っています。
種家:
はい。ANAは「安心と信頼」を経営理念の基礎に置き、AIを積極的に活用しつつ、リスクを最小化するガバナンス強化にも注力しています。2025年度には「ANAグループAI原則」と「AIリスク管理規定」を策定し、グループ全体での理解と順守を進めています。
また、総務・法務・DX部門が連携するAIガバナンス事務局を設置しました。リスクベースアプローチに基づき、ビジネス部門がAIシステムやサービスを導入する際、リスクを正確に識別・評価し、規模に応じた対策を講じられる体制です。この仕組みにより、個人情報保護・セキュリティ・著作権といった課題に対応し、責任あるAI活用と、社会・お客さまからの信頼確保を目指しています。
林:
攻めと守りを同時に進めているということですね。中西さん、他社ではどのような動きが見えているのでしょうか。
中西:
弊社が主催したイベントで三菱商事と富士通の幹部の方々と議論する機会があり、企業のAI活用の潮流が明確になりました。
まず三菱商事は、AIを単なる業務効率化ではなく「新たな経営資源」と位置づけています。同社では全社員のAIリテラシー向上に取り組んでいますが、巨大組織特有のサイロ化や、技術に詳しい人材とビジネス現場を理解する人材の知識ギャップが課題です。この解消に向け、幹部のG検定合格を昇格要件にするなど本腰を入れています。ガバナンスも「攻めるために守る」という方針を明確にし、ROI(投資利益率)も厳格に評価しています。
一方、富士通はAIを「刀」や「包丁」に例え、正しく使えば大きな価値が生まれると強調していました。同社は他社の優れた取り組みを積極的に取り入れる姿勢が重要だとも指摘しています。さらに2022年にはAI倫理部署を立ち上げ、外部委員会の評価を取締役会に報告するなど、AIを経営プロセスに組み込む先進的な体制を整えています。
ANAホールディングス株式会社 取締役執行役員 種家 純氏
AI活用の成功要因と落とし穴──法律家が見る実務ポイント
林:
次に大井先生に伺います。法律家の視点から、生成AIを活用する際のポイントや課題を教えてください。
大井:
まず、成功している企業の事例を見ると、業務領域を明確に絞った特化型AIや、自社の業務プロセスに最適化した生成AIの導入で成果を上げているケースが多いと感じます。
業務効率化の領域では、社内ナレッジ検索やFAQ構築にAIを使い、ノウハウ共有を効率化する取り組みが進んでいます。企画書・議事録・報告書・マニュアルなどをAIにドラフトさせ、人が仕上げるドキュメント生成の自動化も広がっています。またシステム開発では、要件定義から設計、コーディング、テスト、バグ解析まで一貫してAIを活用する「AI駆動開発」が浸透し、スキルの標準化と生産性向上が進んでいます。
さらに、企業から最も相談が多いのはオペレーション領域です。請求書処理、在庫確認、カスタマーセンターの一次回答など、定型業務の自動化が典型例です。CRM(顧客関係管理)やマーケティングでも、購買履歴・閲覧履歴・外部レビューサイトの情報を含めたカスタマージャーニーをAIが解析し、最適な商品提案につなげる活用が広がっています。
一方、失敗事例で最も多いのは法的リスクです。個人情報や営業秘密が学習に使われて漏えいするのではないかという懸念が根強く、個人情報保護委員会も注意喚起を出しています。プロンプトに個人情報を入力する場合は利用目的の範囲内か確認すること、応答結果以外に使えば個人情報保護法違反になり得ることなどが示されています。営業秘密についても同様で、利用を厳しく制限している企業が多い状況です。
ただし、現在のエンタープライズ向け生成AIは、企業データが外部に出ない設計で、学習もクローズド環境で行われます。オプトアウト設定も可能で、外部漏えいリスクは大きく低減しています。
むしろ注意すべきは社内での漏えいです。製造部門のデータが他部門に流れる「部門間漏えい」や、役員層だけが持つ情報が一般職員に見えてしまう「階層間漏えい」が起こる可能性があります。さらに、規制を厳しくしすぎた結果、職員が非公認のAIを使う“野良AI”が広まるケースもあります。かつての“野良クラウド”と同じ構図で、ガバナンス過多が逆にリスクを高める場合です。
最終的には、欧州連合(EU)のAI規制法(以下、AI法)や日本のAI事業者ガイドラインを踏まえつつ、自社の業務やサービスに合わせてルールを最適化することが重要だと考えています。
TMI総合法律事務所 パートナー弁護士 TMIプライバシー&セキュリティ
コンサルティング株式会社 代表取締役 大井 哲也氏
世界で加速するデジタル規制で、企業が備えるべき実装プロセス
林:
ここからはAIに限らず、世界で進むデジタル規制への対応を議論します。
デジタル規制はこれまで、EUは権利主導、米国は市場主導、中国は国家主導と整理されてきました。しかし近年は、データ移転やサプライチェーンリスクを巡り、各地域で保護主義が強まっています。サイバーセキュリティ対策やインシデント報告の義務化も進み、違反時の罰則もより重くなっています。これらの規制は、一部門では対応できません。サプライチェーン管理やインシデント対応など複数部署が関わるため、企業横断の連携が不可欠です。
日本企業の対応フェーズも変化しています。従来は法務やITセキュリティなど第二線が規制をモニタリングし、ギャップ分析を行う段階が中心でした。現在は、事業部門も含めた企業全体で規制対応を実装する段階に移行しています。規制がより実務レベルに踏み込んできたことの表れと言えます。
こうした状況の中、ANAではどのように対応されているのか。種家さん、教えていただけますか。
種家:
おっしゃるとおり、デジタル規制対応は総力戦です。
ANAは国際線で約40都市に就航し、海外販売が半数以上を占めます。顧客データも多国籍で、各国にコンタクトセンターやウェブサイトを持つため、パーソナライゼーションを進めながら、各国のデジタル規制に確実に対応する必要があります。特にデータ共有の同意取得は国ごとに要件が異なり、実務上の難しさを日々感じています。
規制改正への対応では、法務、総務(リスク管理)、DX、海外支店が横断連携し、国内外の法律事務所・コンサルティングファームと協力して各国の動向を継続的にモニタリングしています。改正情報が入れば、事業影響の精査から社内規定の改訂、周知・教育、点検、監査、システム改修までをワンストップで進めています。EUのAI法や日本のAI事業者ガイドラインも、情報収集に遅れが出ないよう注視しています。
個人情報保護では、EU一般データ保護規則(以下、GDPR)を含む各国法に対応するため、2023年に総務部内にプライバシーガバナンスチームを設置しました。法務出身の課長を中心に、法務部や海外の弁護士と連携し、最新動向の把握とリスクベースの対応方針の策定を行っています。新規サービスの企画段階では、事業部と連携し、AI・プライバシー・セキュリティの事前リスク評価を実施しています。
ガバナンス面では、取締役会の下にグループESG(※)経営推進会議を設置し、チーフESGプロモーションオフィサーがガバナンス、リスクマネジメント、サステナビリティを統括。各部門・グループ会社のESG担当者を配置したツリー構造で全社的にリスク管理を行っています。2025年度からはERM(全社的リスクマネジメント)も強化し、情報セキュリティ、個人情報保護、サイバーを最重要リスクに位置づけました。役員をリスクオーナーとし、主管部署が残存リスク低減のアクションを経営として推進しています。
※ ESG Environment(環境)、Social(社会)、Governance(ガバナンス:企業統治)を考慮した投資活動や経営・事業活動
https://www8.cao.go.jp/shougai/suishin/tyosa/r02kokusai/h2_02_01.html
ANAの強みは、外部の知見も活用しながら、グループ全体が一体となって迅速に動ける体制にあることです。特に「スピード」を重視しています。
林:
展開国が多くなると、専門組織を設けなければ、現場任せでは立ち行かなくなるということですね。大井先生、他の企業がこうした取り組みを推進するためにはどのような心構えが必要でしょうか。
大井:
企業は多様な法律と多数の国・地域の規制に同時に対応する必要があります。
例えば、GDPRはEUや英国が先行し、その類似法が世界に広がっています。さらに、中国、米国の州法、インド、インドネシア、ベトナムなど、それぞれが独自の個人情報保護法を持ち、当局のスタンスも統一されていません。こうした状況では、ANAのように横断的な専門チームを組成し、集中管理する体制が最も現実的です。
新しい法律は情報が入りにくく、実務もまだ確立していません。そのため多くの企業は、まずGDPRの実務を基準に、他国の類似制度へ対応する形を取っています。
一方、EUのAI法はリスクベースアプローチを採用しており、「禁止/義務」の明確なリストがあるわけではありません。企業自らがリスクを評価し、必要な対策を定義していく必要があります。実はこの「実務化」が最も難しい点なのです。
さらに難易度が高いのがEUデータ法です。対象が個人データにとどまらず、産業データまで含まれるため、アクセス・共有・移転に広く規制がかかります。ですから自社のどの部署・サービスが適用対象になるのかを洗い出し、事業部門自身が扱うデータとシステムを正確に把握することが不可欠です。産業データやログも含まれるため全社的なデータマッピングも必要で、事業部やシステム運用部門の積極的な関与が欠かせません。
実際、EUデータ法は私たち弁護士にとっても難易度が高い領域です。日本において完全に対応済みのケースは少なく、EU企業の先行例を参考にしながら進めている状況です。日本企業の事例も限られており、外部専門家を活用しつつ、私たちもEUの弁護士と連携して支援しています。
林:
つまり法務など第二線にも事業理解が不可欠で、事業部門も「規制対応は法務に任せる」とは言えない状況になっているのですね。
大井:
そのとおりです。従来は法務主導でしたが、いまはANAのように、プライバシーガバナンスを担う専任・兼任のメンバーを横断的に集め、業務全体を見渡す体制が必要です。この組織が個人情報保護法や各国のデジタル規制をモニタリングし、データのオーナーである事業部門やシステム部門が主体として参加することです。実際、これが現在の主流になっています。
弁護士側も同様で、専門特化が進んでいます。日本の個人情報保護法とEUデータ法のように、制度の思想や要求事項がまったく異なるケースでは、同一の専門家が両方を網羅することは困難です。それぞれの法域ごとに知見を積み上げていく必要があります。
さらに、EUのAI・デジタル規制全般に対応するには、「どのような組織構造を構築し」「誰が旗振り役となり」「どの部門を巻き込むか」までを明確にした上で、法的リスクだけでなく、レピュテーションリスクまで含めて総合的にコントロールする体制が求められます。
私が常にお伝えしているのは、ユースケースの蓄積が、企業のデジタル規制対応の局面において最も効果的であるという点です。最初から全社横断で一気に取り組むと知見が分散し、ノウハウが蓄積しにくい。まずは具体的なサービスや業務からスモールスタートし、成果と知見を横展開していく方が現実的で、定着もしやすいのです。
日本経済新聞社 NIKKEI Digital Governance 編集長 中西 豊紀氏
規制の潮目が変わる? メディアが注視する三つの変化
林:
ここまで多くの規制が登場しました。中西さん、メディアの立場から今後注目すべき動きはありますか。
中西:
注目しているのは、規制側の姿勢の変化です。これまで企業が規制に合わせる構図でしたが、2025年末あたりから逆の動き、つまり規制側がビジネスに歩み寄る流れが出てきました。
象徴的なのがEUです。デジタル規制の複雑さがイノベーションを阻害しているとの認識から、複数のデータ関連法を束ねる「EUデータ・ユニオン・ストラテジー」や、手続きを簡素化するデジタルオムニバス法案が議論されています。GDPRについても、一定の保護措置を講じれば本人同意なしで個人データをAIに活用できる方向性が示されました。「守り一辺倒」だったEUが、AIイノベーション重視へかじを切り始めた表れと言えます。
次にサイバーセキュリティです。2025年は大企業で深刻なインシデントが相次ぎ、私たちも「サイバー災害」という言葉で報じました。経済活動そのものが止まりかねない事態を受け、サイバー対策をIT部門の問題ではなく経営課題として捉える動きが一気に広がっています。
最後は「米国の行方」ですね。トランプ政権はAI振興策を掲げ、連邦レベルでの規制整備を打ち出していますが、実際に法制化されるかは不透明です。ただ、注視すべきは米国の方針転換に対するEUの反応です。国際的なデータ移転やAI活用のルールに直結するため、実務上は極めて重要なポイントになります。
林:
本日の議論から、デジタル規制への対応には経営から現場まで全社的な取り組みが不可欠だと分かりました。新たな論点を継続的にモニタリングしながら、規制対応をビジネスに実装していく。その過程で外部専門家をうまく活用することも重要です。最後に皆さんから一言ずつお願いします。
種家:
デジタルもAIも規制は絶えず変化します。高い感度を持ち、チーム戦・総力戦で臨む必要があると改めて感じました。
大井:
欧州では規制簡素化の議論がありますが、実現時期は不透明で、当面は複雑な規制が続くでしょう。企業にはノウハウを蓄積できる組織づくりが欠かせません。サイバーセキュリティも法対応だけでは不十分で、攻撃手法を把握し、技術部門と連携して防御力を高めることが重要です。
中西:
「ガードレール」という表現をよく耳にしますが、野放しではイノベーションも経済も進みません。何が合理的なガードレールか、その中でビジネスをどう発展させるか。メディアとして引き続き追いかけていきます。
林:
本日はありがとうございました。
PwC Japanグループ サイバーセキュリティ&デジタルオペレーショナルレジリエンス
リーダー PwCコンサルティング合同会社 上席執行役員 パートナー 林 和洋氏
